trivy Docker镜像文档

镜像概述和主要用途

trivy Docker镜像是基于Trivy（由Aqua Security开发的开源漏洞扫描工具）构建的容器化部署方案。该镜像旨在简化Trivy的安装与使用，无需本地配置即可快速开展容器镜像、文件系统、Git仓库等目标的安全漏洞扫描，帮助用户及时发现并修复潜在安全风险。

核心功能和特性

• 多源扫描支持：可扫描容器镜像、本地文件系统、Git仓库、OCI制品等多种目标。
• 多类型漏洞检测：覆盖操作系统级包漏洞（如Debian、Alpine、RHEL等）和应用依赖漏洞（如Java、Python、Node.js等）。
• 快速高效：采用增量扫描和并行处理机制，扫描速度快，资源占用低。
• 易于集成：支持命令行参数配置，可无缝集成到CI/CD流水线、脚本或自动化工具中。
• 轻量级设计：镜像体积小，部署便捷，适合各类环境（本地、云服务器、容器平台）。

使用场景和适用范围

适用场景

• CI/CD流水线集成：在代码构建、镜像打包等环节自动触发扫描，确保制品安全后再进入下一环节。
• 容器镜像发布前检查：在镜像推送到仓库前扫描，避免带有高危漏洞的镜像被部署。
• 本地开发环境安全审计：开发者在本地检查项目依赖或容器镜像，提前发现安全问题。
• 定期安全合规扫描：对生产环境中的镜像或文件系统进行周期性扫描，满足合规要求。

适用人群/团队

• 容器开发者、DevOps工程师
• 安全审计人员、合规团队
• 需要自动化漏洞检测的技术团队

使用方法和配置说明

基本使用（docker run）

通过docker run命令直接运行镜像，执行漏洞扫描。需挂载Docker守护进程套接字（/var/run/docker.sock）以支持容器镜像扫描（若扫描本地文件系统或Git仓库，可省略此挂载）。

示例1：扫描容器镜像

# 扫描nginx:latest镜像，检测所有级别漏洞
docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \  # 挂载Docker套接字，用于访问本地镜像
  toolhippie/trivy \
  image nginx:latest  # "image"表示扫描类型，"nginx:latest"为目标镜像

示例2：扫描本地文件系统

# 扫描当前目录（/app）的依赖漏洞
docker run --rm \
  -v $(pwd):/app \  # 挂载本地目录到容器内/app
  toolhippie/trivy \
  fs /app  # "fs"表示文件系统扫描，"/app"为容器内目标路径

高级配置示例

指定漏洞严重级别

仅扫描高危（HIGH）和严重（CRITICAL）漏洞：

docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  toolhippie/trivy \
  image --severity HIGH,CRITICAL nginx:latest

发现漏洞时退出非零状态码

CI/CD中若发现漏洞则终止流程：

docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  toolhippie/trivy \
  image --exit-code 1 --severity HIGH,CRITICAL nginx:latest  # 发现指定级别漏洞时退出码=1

使用自定义配置文件

通过挂载配置文件自定义扫描行为（如忽略特定漏洞、设置缓存路径等）：

# 假设本地配置文件为./trivy.yaml
docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -v $(pwd)/trivy.yaml:/etc/trivy/trivy.yaml \  # 挂载自定义配置文件
  toolhippie/trivy \
  image --config /etc/trivy/trivy.yaml nginx:latest

版本信息

镜像版本与Trivy工具版本同步，可通过以下链接查看所有可用标签：

• DockerHub tags
• Quay.io tags

贡献方式

1. Fork本项目仓库
2. 提交修改（Patch）
3. 推送（Push）到个人分支
4. 提交Pull Request

作者

• Thomas Boerger

许可证

MIT

版权信息

Copyright (c) 2018 Thomas Boerger <[***]>